Google ออกอัปเดตฉุกเฉิน Chrome หลังพบช่องโหว่ zero-day ตัวที่เจ็ดของปี
CVE-2025-13223 ถูกใช้โจมตีจริง แนะนำอัปเดตทันทีเพื่อความปลอดภัย
Google ออกอัปเดตฉุกเฉินให้ Chrome หลังพบช่องโหว่แบบ zero-day ตัวที่เจ็ดของปีนี้ คือ CVE-2025-13223 ซึ่งเกิดจากปัญหา type confusion ใน V8 เอนจิน JavaScript ช่องโหว่นี้ถูกใช้โจมตีจริงแล้ว โดย Clément Lecigne จากทีม Threat Analysis Group (TAG) ของ Google เป็นผู้รายงาน TAG มักตรวจพบการโจมตีจากหน่วยงานรัฐที่มุ่งเป้านักข่าว นักการเมืองฝ่ายค้าน และนักเคลื่อนไหว
อัปเดตเวอร์ชัน 142.0.7444.175/.176 สำหรับ Windows 142.0.7444.176 สำหรับ Mac และ 142.0.7444.175 สำหรับ Linux ถูกปล่อยให้ช่อง Stable แล้ว ผู้ใช้สามารถตรวจสอบเวอร์ชันได้ที่ Chrome > Help > About Google Chrome แล้วกด Relaunch เพื่อใช้แพตช์ทันที แม้อัปเดตจะอัตโนมัติแต่แนะนำเช็กด้วยตัวเองเพื่อป้องกันช่องโหว่ที่อาจนำไปสู่การรันโค้ดอันตราย
Google ยืนยันว่ามี exploit ใน wild แล้วแต่ไม่เปิดเผยรายละเอียด เพื่อรอให้ผู้ใช้ส่วนใหญ่ได้รับแพตช์ก่อน ไม่ให้ผู้โจมตีอื่นนำไปใช้ อาจจำกัดข้อมูลหากกระทบไลบรารีบุคคลที่สามที่ยังไม่ออกแพตช์ นอกจากนี้ยังแพตช์ CVE-2025-13224 อีกตัวที่พบโดย AI fuzzing tool ของ Google
ช่องโหว่นี้เป็น zero-day ตัวที่เจ็ดของปี 2025 ตามหลัง CVE-2025-10585 และ CVE-2025-6558 ในกันยายน-กรกฎาคมที่ TAG พบการโจมตีจริง รวมถึง CVE-2025-4664 ในพฤษภาคมที่เปิดทางยึดบัญชี และ CVE-2025-5419 ในมิถุนายนที่เป็น out-of-bounds ใน V8 แสดงให้เห็นภัยคุกคามต่อเนื่อง
ต้นปีมีนาคม Google แก้ CVE-2025-2783 sandbox escape รุนแรงสูงที่ Kaspersky รายงาน ถูกใช้สอดแนมสื่อและหน่วยงานรัฐรัสเซีย ทำให้ปีนี้ Chrome ต้องรับมือ zero-day หนักหน่วง TAG และเครื่องมือ AI ช่วยตรวจพบได้ทันเวลา
ย้อนไปปี 2024 มี zero-day 10 รายการที่อุดได้ทั้งจากการโจมตีจริงและ Pwn2Own สะท้อนว่าภัยคุกคามเบราว์เซอร์พัฒนาต่อเนื่อง ผู้ใช้ควรอัปเดต Chrome ล่าสุดเสมอเพื่อลดความเสี่ยง โดยเฉพาะผู้ที่เสี่ยงสูงจาก spyware หรือ nation-state attacks
